¿bcrypt vs MD5 APR1 vs SHA-1?

La **elección del algoritmo** depende de la antigüedad del servidor y los requisitos: - **bcrypt**: estándar moderno, lento (50-200 ms por hash) con cost configurable, **resistente a fuerza bruta y GPU** - **MD5 APR1** (`$apr1$`): clásico de Apache desde 1995, 1000 iteraciones de MD5 + sal; **mucho más rápido** que bcrypt (1 ms), por tanto **más débil** ante fuerza bruta - **SHA-1** (`{SHA}`): una sola ronda, sin sal, **descifrado en horas** **Usa bcrypt** en configuraciones nuevas; MD5 APR1 si el servidor es antiguo; SHA-1 solo en Nginx donde necesites mínima CPU.

¿Por qué bcrypt es "mejor" si es más lento?

**Hash lento = fuerza bruta más difícil**. SHA-1 corre en **0,0001 ms**, los atacantes prueban **10.000 millones de contraseñas/s**. **bcrypt cost=10** tarda **50 ms**, los atacantes pasan a **200/s**, **50.000 millones de veces más lento**. Para usuarios normales, 50 ms al iniciar sesión son **inapreciables**; para un atacante con billones de contraseñas que probar, **son "minutos" frente a "años"**.

¿Qué cost de bcrypt elijo?

**Estándar 2024-2026**: **cost=10** (~50-100 ms). Para banca / gestión de secretos: **cost=12** (~400 ms) o **14** (~1,5 s). **cost=4-8 es peligrosamente rápido, NO usar**. No subas de 14 salvo que aceptes logins de varios segundos. **Nota**: el cost de bcrypt va dentro del hash (`$2y$10$...`), cambiar el cost obliga a **rehashear todas las contraseñas**.

¿Funciona con Nginx?

**Sí**. Nginx **lee de forma nativa** el formato htpasswd de Apache mediante `auth_basic_user_file /ruta/al/.htpasswd`. Acepta los 3 algoritmos de nuestro generador. **Para una configuración nueva solo con Nginx, bcrypt es la mejor opción**.

¿Mi contraseña llega al servidor?

**No**. Toda la lógica (**bcrypt, MD5 APR1, SHA-1**) se ejecuta en tu navegador. **bcrypt** vía **bcryptjs** (JS puro), **MD5 APR1** vía **hash-wasm**, **SHA-1** vía **Web Crypto API**. **DevTools > Network** = ninguna petición con la contraseña.

¿Dónde debo colocar el archivo .htpasswd?

**FUERA del document root** (p. ej. `/etc/apache2/passwords/.htpasswd` en Debian/Ubuntu, **NO** `/var/www/html/.htpasswd`, donde cualquiera podría descargarlo por HTTP). **Permisos**: `chmod 640`, **owner=root, group=www-data** (o nginx). Apache lo lee con `AuthUserFile`, Nginx con `auth_basic_user_file`.

¿Cómo añado varios usuarios?

**Cada usuario = UNA línea** en el archivo. Genera una entrada por usuario (cambia usuario + contraseña, copia la nueva línea) y pégalas todas en **el mismo archivo**. Apache/Nginx recorre todas las líneas y busca los usuarios que coincidan. **Alternativa con bash**: un bucle que llame a `htpasswd -B archivo usuario contrasena` por cada par.

Generador de archivo .htpasswd - gratis

Línea generada

Introduce usuario y contraseña para generar la línea.

Usuario

Contraseña

Algoritmo

tools.htpasswd.algoHint_bcrypt

Coste de bcrypt (2^10)

El hashing es local. Tu contraseña nunca sale del navegador.

¿Cómo protejo con contraseña una página de Apache o Nginx (basic auth)?

Genera una entrada para un archivo .htpasswd: la línea en formato `usuario:hash` lista para pegar en un archivo .htpasswd de Apache o en la directiva `auth_basic_user_file` de Nginx.

Soporta: bcrypt (recomendado para 2024+, el más fuerte), MD5 APR1 (`$apr1$`, clásico de Apache) y SHA-1 (`{SHA}`, compatible con Nginx).

Todo se calcula en tu navegador, la contraseña nunca sale.

Cómo usarlo

Escribe un nombre de usuario (p. ej. "admin", "backup_user").

Escribe la contraseña: el hash se calcula al instante en el navegador.

Elige el algoritmo: bcrypt (el más fuerte, ~50 ms por hash, Apache 2.4+ y Nginx 1.10+), MD5 APR1 (clásico de Apache, funciona en todas partes), SHA-1 (solo Nginx, el más débil pero el más rápido).

Para bcrypt, define el cost (4-14). Por defecto 10, equilibrio entre seguridad y latencia de login (~50 ms de verificación). 12 o más para apps de alta seguridad.

Copia la línea o descarga el .htpasswd. Súbelo al servidor en un lugar seguro fuera del document root y referéncialo desde Apache (`AuthUserFile`) o Nginx (`auth_basic_user_file`).

Cuándo es útil

Cinco situaciones típicas en las que basic auth con .htpasswd basta 100%:

Cerrar un sitio estático frente a indexación. Basic auth en un panel de staging/test.
Proteger un directorio `/admin/` en Apache.
Mirror privado de paquetes (Composer, npm). Acceso solo para el equipo.
Sitio interno de documentación. Acceso a docs internas.
Servidor de artefactos de CI/CD. Servidor privado de artefactos de build.

Para configuraciones más grandes (10 o más usuarios), valora un proveedor de identidad dedicado: basic auth escala mal. Un único usuario o equipo pequeño = el caso de uso ideal.

El generador te permite añadir una entrada sin instalar el CLI htpasswd ni las utilidades de Apache.

Preguntas y respuestas

Un archivo de texto con líneas `usuario:hash` que usan Apache y Nginx para autenticación HTTP básica. Cuando el servidor recibe una petición con `Authorization: Basic ...`, decodifica usuario:contraseña, busca al usuario en el archivo y compara el hash de la contraseña con el almacenado. Estándar desde los años 90: simple pero limitado (sin sesiones, sin logout, contraseña enviada en base64 con cada petición).

¿Cómo protejo con contraseña una página de Apache o Nginx (basic auth)?

Soporta: bcrypt (recomendado para 2024+, el más fuerte), MD5 APR1 (`$apr1$`, clásico de Apache) y SHA-1 (`{SHA}`, compatible con Nginx).

Todo se calcula en tu navegador, la contraseña nunca sale.

Cómo usarlo

Escribe un nombre de usuario (p. ej. "admin", "backup_user").

Escribe la contraseña: el hash se calcula al instante en el navegador.

Para bcrypt, define el cost (4-14). Por defecto 10, equilibrio entre seguridad y latencia de login (~50 ms de verificación). 12 o más para apps de alta seguridad.

Copia la línea o descarga el .htpasswd. Súbelo al servidor en un lugar seguro fuera del document root y referéncialo desde Apache (`AuthUserFile`) o Nginx (`auth_basic_user_file`).

Cuándo es útil

Cinco situaciones típicas en las que basic auth con .htpasswd basta 100%:

Cerrar un sitio estático frente a indexación. Basic auth en un panel de staging/test.
Proteger un directorio `/admin/` en Apache.
Mirror privado de paquetes (Composer, npm). Acceso solo para el equipo.
Sitio interno de documentación. Acceso a docs internas.
Servidor de artefactos de CI/CD. Servidor privado de artefactos de build.

Para configuraciones más grandes (10 o más usuarios), valora un proveedor de identidad dedicado: basic auth escala mal. Un único usuario o equipo pequeño = el caso de uso ideal.

El generador te permite añadir una entrada sin instalar el CLI htpasswd ni las utilidades de Apache.

Preguntas y respuestas

Generador de archivo .htpasswd

¿Cómo protejo con contraseña una página de Apache o Nginx (basic auth)?

Cómo usarlo

Cuándo es útil

Preguntas y respuestas

Herramientas relacionadas

Hashes de contraseñas: MD5, SHA, bcrypt

Generador de contraseñas

Comprobador de contraseñas filtradas

Generador de archivo .htpasswd

¿Cómo protejo con contraseña una página de Apache o Nginx (basic auth)?

Cómo usarlo

Cuándo es útil

Preguntas y respuestas

Herramientas relacionadas

Hashes de contraseñas: MD5, SHA, bcrypt

Generador de contraseñas

Comprobador de contraseñas filtradas